Post on 30-Jul-2018
12
Bab 2
Landasan Teori
2.1. Latar Belakang Manajemen Risiko Berbasis ISO 31000
Menurut SAEAS 9100 C (Society Automotive Engineers Aerospace Standards)
produksi maupun proyek sebagai kegiatan suatu industri organisasi harus
merencanakan dan mengelola realisasi produk secara terstruktur dan terkendali
untuk memenuhi persyaratan serta risiko yang dapat diterima. Oleh karena itu
diperlukan proses manajemen risiko dalam setiap tindakan dan keputusan agar
tujuan industri atau organisasi dapat tercapai.
Hubungan yang kuat antara risiko dengan pencapaian tujuan menimbulkan
kesadaran mengenai pentingnya manajemen risiko yang telah menghasilkan
berbagai macam standar mengenai manajemen risiko di barbagai negara, seperti di
Australia dan New Zealand AS/NZS 4360:2004; Canada CAN/CSA Q850-97;
Jepang JIS Q_2001; Amerika Serikat NFPA 1600 dan COSO-ERM Integrated
Framework; United Kingdom BS 6079-3:2000. Dengan adanya berbagai standar
manajemen risiko dan konsensus global tentang manajemen risiko, maka
International Standard Organization mulai menyusun sebuah standar manajemen
risiko, yaitu ISO 31000 Risk Management - Guideline on principles and
implementation of risk management. Setelah melalui proses voting dan revisi dari
semua anggota ISO, standar ini diluncurkan menjadi standar internasional.
2.2. Latar Belakang Manajemen Risiko
Setiap aktivitas organisasi, apapun jenis dan seberapapun besarnya pasti
menghadapi berbagai faktor dan berbagai pengaruh yang membuat mereka tidak
merasa pasti bagaimana dan kapan mereka dapat meraih sasaran organisasi.
Seperti yang ditunjukan pada Gambar 2.1. Dampak ketidakpastian pada
pencapaian organisasi ini adalah “resiko”. Manajemen risiko ialah proses untuk
identifikasi, menilai, menerima, dan mengendalikan risiko secara sistematis,
13
proaktif, komprehensif dengan biaya efektif serta mempertimbangkan bisnis,
teknis, kualitas, dan jadwal program kendala. Organisasi mengelola risiko dengan
mengidentifikasi risiko tersebut, menganalisa, dan mengevaluasinya untuk
memastikan apakah risiko tersebut perlu mendapatkan perlakuan risiko sehingga
memenuhi kriteria risiko yang dapat diterima atau tidak.
Ketika Layar Gagal (Tertembus) Maka Konsekuensi Risiko
akan Menghancurkan Pencapaian Tujuan
Kegagalan Kontrak atau Proyek
Pengaruh Rendah Biaya
Tinggi
Pengaruh Tinggi Biaya Rendah
Pertahanan secara Mendalam
Lolos
Persyaratan Kontrak
Desain
Perolehan Membuat/ Beli
Pengembangan Proses
Kesiapan Produksi
Test dan Assesment
Operasi & Perawatan
Sumber: James Reason, Managing the Risk of Organizational Accidents, 1997,p. 12
Gambar 2.1. Risiko dan Sebuah Proyek/ Program dalam Organisasi
Setiap bidang aplikasi manajemen risiko memiliki kebutuhan, partisipan tersendiri
dan persepsi serta kriteria yang khas. Oleh karena itu, salah satu fitur kunci dari
Standar Internasional adalah "Menetapkan konteks" sebagai salah satu kegiatan
awal dari proses manajemen risiko yang generik. Penetapan konteks akan mampu
untuk menangkap sasaran organisasi, lingkungan dimana sasaran tersebut akan
dicapai, para pemangku kepentingan yang terkait, serta berbagai macam kriteria
risiko terkait. Semuanya ini akan membantu dalam mengungkapkan, menilai, dan
mengakses sifat serta kompleksitas dari risiko-risiko yang terkait.
14
Hubungan antara prinsip-prinsip untuk mengelola risiko dengan kerangka kerja
manajemen risiko, dimana prinsip-prinsip ini akan diterapkan dan juga dengan
proses manajemen risiko digambarkan dalam Standar Internasional pada Gambar
2.2. Bila manajemen risiko diterapkan dan dirawat sesuai dengan Standar
Internasional ini, akan memungkinkan organisasi, antara lain untuk dapat:
a. Meningkatkan kemungkinan tercapainya sasaran organisasi
b. Mendorong manjemen yang proaktif
c. Meningkatkan kesadaran untuk mengidentifikasi dan menangani risiko di
seluruh bagian organisasi
d. Memperbaikai kemampuan identifikasi ancaman dan peluang
e. Mematuhi peraturan hukum dan perundangan dan standar internasional yang
berlaku
f. Memperbaiki sistem pelaporan baik yang wajib maupun yang sukarela
g. Memperbaiki governance organisasi
h. Meningkatkan kepercayaan dan keyakinan pemangku kepentingan
i. Menetapkan suatu landasan yang kokoh dalam pengambilan keputusan dan
perencanaan
j. Memperbaiki pengendalian
k. Mengalokasikan dan menggunakan sumber daya secara efektif dalam
menangani perlakuan risiko
l. Meningkatkan kesehatan dan keselamatan kerja dan juga meningkatkan
perlindungan terhadap lingkungan hidup
m. Memperbaiki sistem pencegahan kerugian dan pengelolaan tanggap darurat
n. Meminimalkan kerugian
o. Memperbaiki daya tahan organisasi.
Standar ini dimaksudkan untuk memenuhi kebutuhan dari berbagai macam
pemangku kepentingan termasuk, antara lain:
a. Mereka yang bertanggung jawab pengembangan kebijakan manajemen risiko
dalam organisasinya
15
b. Mereka yang harus memastikan bahwa sebuah organisasi telah mengelola
risiko dengan baik untuk keseluruhan organisasi ataupun hanya pada bagian-
bagian tertentu saja
c. Mereka yang harus mengevaluasi bagaimana efektifitas praktik pengelolaan
risiko dalam suatu organisasi
d. Mereka yang harus mengembangkan standar atau prosedur pengelolaan risiko
dalam konteks tertentu atau untuk keseluruhan organisasi.
Bagi organisasi yang telah mengembangkan sistem manajemen risiko tersendiri
karena kebutuhannya yang spesifik dalam mengelola risiko, dapat
mempertimbangkan untuk melakukan review terhadap praktik yang telah
dilakukan dengan membandingkannya dengan standar ISO 31000.
PRINSIP UNTUK MENGELOLA RISIKO
1. Memberi nilai tambah dan melindungi nilai perusahaan
2. Bagian Terpadu dari proses organisasi
3. Bagian dari pengambilan keputusan
4. Secara khusus menangani ketidakpastian
5. Sistematis, struktur dan tepat waktu
6. Berdasarkan informasi terbaik yang ada
7. Tailored
8. Mempertimbangkan faktor manusia dan budaya
9. Transparan dan insklusif
10. Dinamis, berulang dan responsif terhadap perubahan
11. Memfasilitas perbaikan sinambung dan peningkatan
organisasi
PROSES UNTUK MENGELOLA RISIKO KERANGKA KERJA UNTUK MENGELOLA RISIKO
Mandat dan Komitmen
Desain Kerangka Kerja
untuk Mengelola
Risiko
Perbaikan Sinambung
untuk Kerangka Kerja
Penerapan Manajemen
Risiko
Pemantauan dan Riview
Kerangka Kerja
Menentukan Konteks
RISK ASSESMENT
Mengidentifikasi Risiko
Analisis Risiko
Evaluasi Risiko
Perlakuan Risiko
Ko
mu
nik
asi d
an K
on
sult
asi
Mo
nito
ring
& R
eview
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.19
Gambar 2.2. Hubungan Prinsip, Kerangka Kerja dan Proses Manajemen Risiko
ISO 31000 merupakan standar manajemen risiko yang generik, berarti standar ini
tidak menafikan standar-standar manajemen risiko yang dibuat untuk keperluan
yang spesifik dan khusus. Keduanya dapat berjalan berdampingan dan saling
melengkapi. Proses manajemen risiko merupakan tahapan yang generik dan
terdapat dalam berbagai standar manajemen risiko yang lainnya. Salah satu tools
yang dapat digunakan dalam manajemen risiko adalah IAQG (International
Aerospace Quality Group). IAQG mengadopsi sistem manajemen risiko ISO
16
9001, ISO 13485, SAE ARP 9113, BSI BIP 2024, BSI BIP 2028, FAA 8040.4,
ISO 31000 dan ISO 31010. Organisasi yang mendapatkan bagian, bahan dan
rakitan dan menjual produk ini untuk seorang pelanggan dalam penerbangan,
ruang, dan industri pertahanan, termasuk organisasi yang mendapatkan produk
dan membaginya ke dalam jumlah yang lebih kecil untuk dijual kembali, harus
menggunakan IAQG yang dikembangkan standar ISO 9120.
Dalam konteks hukum Indonesia, Dewan Komisaris adalah penanggung jawab
pengawasan tertinggi dalam perusahaan. Kelalaian dalam melaksanakan tugas ini
dapat mengakibatkan sanksi sesuai dengan UU No.40/2007 tentang Perseroan
Terbatas pasal 114 ayat (3). Berbeda dengan aspek pengawasan, sesuai dengan
konteks hukum Indonesia, aspek pelaksanaan manajemen risiko menjadi tanggung
jawab penuh Direksi. Salah satu alternatif struktur pelaksanaan governance
manajemen risiko (risk governance structure) ditampilkan pada Gambar 2.3.
Proses pengukuran risiko memang memerlukan teknik dan metode yang
terkadang rumit, tetapi dapat juga berdasarkan common sense karena pada
dasarnya risiko melekat pada kehidupan manusia dan alam sekitarnya. ISO 31000
menggunakan pendekatan mendahulukan manajemen risiko daripada teknik dan
metode manajemen risiko. Bahkan, dalam proses manajemen risiko juga tidak
diuraikan teknik dan metode yang rumit. Bila diperlukan metode dan teknik yang
canggih, para pengguna dipersilakan mencari sendiri sesuai dengan kebutuhan.
Beberapa hal yang perlu diperhatikan dalam melaksanakan manajemen risiko
adalah:
a. Manajemen risiko memerlukan akuntabilitas dalam pengambilan keputusan
b. Pada dasarnya, pimpinan tertinggi dalam organisasi memikul akuntabilitas
dalam pengelolaan risiko yang harus dilaksanakan sesuai dengan peraturan
perundangan yang berlaku serta tuntutan ekfektivitas pelaksanaan manajemen
risiko.
17
DEWAN
KOMISARIS
KOMITE
PEMANTAU
RISIKO
DIREKSIKOMITE RISIKO
(LINTAS FUNGSI)
INTERNAL
AUDITOR
MANAJEMEN
OPERASI
MANAJEMEN
KEUANGANHUKUM &
KEPATUHAN
MANAJEMEN
SDM DAN UMUM
MANAJEMEN
RISIKO
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.23
Gambar 2.3. Struktur Pemerintahaan Manajemen Risiko
ISO 31000 ini tidak dimaksudkan untuk proses sertifikasi. Manajemen risiko
adalah persyaratan standar kualitas ISO 9100. Standar membutuhkan sistem
manajemen mutu yang memperhitungkan identifikasi berbagai risiko terkait
dengan keadaan organisasi sehubungan dengan kebutuhannya. Manajemen mutu
dapat dikatakan sebagai penerapan manajemen risiko untuk mencegah tidak
tercapainya sasaran mutu di sektor produksi. Sesuai dengan penjelasan di atas
maka agak sulit dilakukan sertifikasi untuk penerapan manajemen risiko ISO
31000 karena:
1. Terkait dengan pencapaian sasaran organisasi. Masing-masing organisasi
mempunyai pasar, pelanggan, lingkungan bisnis yang spesifik, dan sasaran
yang unik. Organisasi tersebutlah yang harus mencari sistem atau pendekatan
terbaik untuknya.
2. Terkait dengan metodologi dan teknik identifikasi serta analisis risiko. Setiap
organisasi dapat mengintegrasikan metodologi penanganan risiko yang khusus
dan khas pada organisasinya sesuai dengan kepentingan.
3. Terkait dengan unsur ketidakpastian dalam risiko. Tidak mungkin melakukan
sertifikasi terhadap sesuatu yang mempunyai unsur ketidakpastian. Ini
bertentangan dengan makna sertifikasi yang intinya memberikan kepastian
kepada pihak lain atas apa yang disertifikasi tadi.
18
4. Proses manajemen risiko merupakan bagian yang integral dari proses bisnis
dan proses organisasi. Oleh karena itu, sertifikasi sebagian dari keseluruhan
proses tidak mempunyai makna yang signifikan. Selain itu manajemen risiko
adalah sarana mencapai suatu tujuan, bukan tujuan itu sendiri.
2.3. Prinip-prinsip Manajemen Risiko
Menurut Dickstein dan Flast (2009) dalam bukunya “No Excuses-Abusiness
Process Approach to Managing Operational Risk” mengungkapkan bahwa
manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut
prinsip-prinsip di bawah ini yang telah disederhanakan untuk memudahkan proses
pemahamannya.
Organisasi adalah entitas maya, sebetulnya, individu-individu dalam organisasi
yang menjadi alter ego atau representasi dari organisasi tersebut. Oleh karena itu,
pendekatan pemahaman prinsip ini dirasakan lebih mudah jika dilakukan dari
sudut pandang individu, kemudian diperluas ke sudut pandang organisasi. Sesuai
dengan penjelasan tersebut, refleksi pemahaman prinsip manajemen risiko
dimulai dari sudut pandang pribadi:
1. Prinsip ke-7: Manajemen risiko adalah, khas untuk penggunanya (tailored).
Ukuran keberhasilan masing-masing individu juga berbeda-beda sesuai dengan
tugasnya masing-masing. Tiap orang harus berupaya memahami apa yang
menjadi hambatan dalam mencapai keberhasilannya, sasaran lingkup tugas,
tanggung jawab serta ukuran keberhasilannya. Dengan kata lain masing-
masing individu dapat melakukan:
a. Temu kenali proses bisnis yang menjadi tanggung jawab Anda
b. Temu kenali sasaran yang diharapkan dari proses bisnis Anda
c. Temu kenali dengan siapa saja Anda berinteraksi untuk dapat mencapai
sasaran yang telah Anda tetapkan
d. Temu kenali hal-hal yang mungkin memengaruhi pencapaian sasaran proses
bisnis Anda
19
e. Temu kenali sumber risiko tersebut, baik yang di dalam maupun yang di
luar proses bisnis, baik yang berasal dari dalam organisasi maupun dari luar
organisasi.
2. Prinsip ke-1: Manajemen risiko melindungi dan menciptakan nilai tambah.
Prinsip ini mengajak Anda untuk fokus pada proses bisnis Anda, sesuai dengan
langkah pertama di atas. Contoh sederhana adalah jika Anda adalah Manajer
Produksi. Apabila bahan baku tidak tersedia, proses produksi akan mengalami
gangguan sehingga target tidak tercapai. Dari penelusuran singkat, ternyata
penyebabnya adalah keterlambatan pembayaran kepada pemasok atas beberapa
pasokan sebelumnya. Dalam kasus ini, penanganan keterlambatan pembayaran
pemasok sudah di luar proses bisnis Anda sehingga di luar kewenangan Anda.
Upaya mengatasinya sangat diragukan akan ikut memberikan nilai tambah
pada proses bisnis Anda. Yang dapat Anda lakukan oleh bagian Anda adalah
memberitahukan dampak keterlambatan pembayaran ini kepada petugas yang
berwenang menanganinya. Anda dapat melakukan penjadwalan ulang proses
produksi atau melakukan pengalihan kegiatan untuk mengatasi sumber daya
yang mungkin idle (menganggur).
3. Prinsip ke-2: Manajemen risiko adalah bagian dari proses organisasi.
Atau "Dalam setiap proses organisasi, terdapat unsur manajemen risiko".
Terhadap hal yang dapat mengganggu pencapaian tujuan, penanggung jawab
proses harus mempersiapkan diri dan dapat mengelolanya bila hal tersebut
terjadi.
4. Prinsip ke-4: Manajemen risiko secara khusus menangani aspek
ketidakpastian.
Tahap ini, penanggung jawab proses harus memperkiraan kemungkinan
terjadinya risiko dan besarnya dampak yang ditimbulkan oleh setiap butir
risiko sehingga dapat dilakukan antisipasi terhadap hal-hal yang dapat
menghambat tercapainya sasaran secara memadai.
20
5. Prinsip ke-3: Manajemen risiko adalah bagian dari proses pengambilan
keputusan.
Keputusan yang akan dilaksanakan dipilih berdasarkan alternatif yang tersedia.
Selain itu, harus diputuskan tindakan juga pengendalian yang harus
dilaksanakan agar kasus serupa tidak terjadi lagi.
6. Prinsip ke-6: Manajemen risiko haruslah transparan dan inklusif.
Biasanya, suatu risiko mempunyai keterkaitan dengan risiko lainnya. Atau,
suatu risiko juga bisa berdampak pada bagian lainnya. Kembali ke contoh
kasus di atas, setelah dilakukan analisis secara sederhana, ditemukan bahwa
keterlambatan pembayaran pemasok terjadi karena masalah arus kas (cash
flow). Masalah arus kas ternyata terjadi akibat keterlambatan pembayaran salah
satu pelanggan besar. Keterlambatan pembayaran ini terjadi karena pelanggan
tersebut kurang puas terhadap pelayanan purna jual dan mutu produk yang
kurang konsisten. Anda sebagai Manajer Produksi tentu akan mengambil
penanganan mutu produk yang kurang konsisten. Dengan menggunakan
analisis yang sama ternyata ditemukan bahwa memang sistem pengendalian
mutu kita kurang canggih. Untuk mencegah hal ini maka akan diterapkan
prinsip pengendalian mutu melalui 6 Sigma. Proses ini hanya dapat dilakukan
bila terdapat transparansi pembahasan masalah dan melibatkan semua pihak
dalam organisasi.
Sesuai dengan penjelasan di atas maka refleksi pemahaman prinsip manajemen
risiko dari sudut pandang organisasi dilakukan melalui langkah-langkah sebagai
berikut:
7. Prinsip ke-5: Manajemen risiko bersifat sistematik, terstruktur, dan tepat
waktu.
ISO 31000 dan istilah-istilah yang dipakai mengacu pada ISO/TEC Guide 73
membantu pendekatan manajemen risiko pada standar baku. Diikuti dengan
pembentukan unit kerja Manajemen Risiko yang harus melaksanakan tahapan-
tahapan manajemen perubahan pada manajemen risiko.
21
8. Prinsip ke-6: Manajemen risiko berdasarkan informasi terbaik yang tersedia.
Pada dasarnya, tanggung jawab pengumpulan informasi terletak pada
pemangku risiko. Akan tetapi, unit kerja manajemen risiko dapat menjadi
fasilitator. Tugasnya adalah mendukung dan membantu proses pengumpulan
informasi, termasuk dalam menyusun model risiko yang sesuai dengan proses
bisnis terkait.
9. Prinsip ke-10: Manajemen risiko bersifat dinamis, berulang, dan tanggap
terhadap perubahan.
Peran unit manajemen risiko sangat besar dalam memfasilitasi hal ini, terutama
terkait dengan konteks internal dan eksternal organisasi. Proses monitoring dan
review yang baik akan sangat membantu mendeteksi terjadinya perubahan dan
proses penyesuaian terhadap. perubahan yang terjadi.
10. Prinsip ke-11: Manajemen risiko harus memfasilitasi terjadinya perbaikan
dan peningkatan organisasi secara berlanjut.
Kembali ke kasus keterlambatan pemasok. Dampak bagi Manajer Produksi
adalah perbaikan sistem pengendalian mutu melalui penerapan Six Sigma
(refleksi tahap 6). Ini merupakan salah satu aspek perbaikan dan peningkatan
organisasi secara berkelanjutan. Dalam keadaan seperti di atas, unit
manajemen risiko harus membantu penerapannya dan menjadikannya sebagai
salah satu aktivitas pengendalian risiko.
11. Prinsip ke-8: Manajemen risiko mempertimbangkan faktor manusia dan
budaya.
Proses manajemen perubahan perlu untuk ditangani sehingga dapat diperoleh
kesamaan persepsi dan kapabilitas yang memadai. Semua harus diselaraskan
ke arah satu kepentingan, yaitu kepentingan organisasi yang di dalamnya
terdapat kepentingan masing-masing individu.
22
2.4. Proses Manajemen Risiko
Pada Gambar 2.4. terlihat bahwa penentuan konteks berfungsi sebagai "filter"
untuk menyaring berbagai macam risiko yang ada dan memisahkannya menjadi
risiko yang relevan bagi organisasi. Sedangkan proses asesmen risiko akan
menghasilkan profil risiko organisasi serta urutan prioritas kegawatan risiko.
Perlakuan risiko dengan empat pilihannya yaitu diterima, ditolak, berbagi dengan
pihak lain dan mitigasi akan menghasilkan risiko tersisa yang terkendali. Risiko-
risiko ini harus selalu dimonitor dan di-review. Hasilnya akan menjadi masukan
untuk perbaikan dan peningkan efektivitas penerapan manajemen risiko.
Sepanjang pelaksanaan seluruh manajemen risiko, komunikasi dan konsultasi
dengan seluruh stakeholders selalu dilakukan. Ini karena Manajemen Risiko tidak
hanya mencakup aspek teknik hitung-hitungan probabilitas dan dampak, namun
lebih dari itu juga mencakup tindakan dan keputusan yang berlangsung dalam
konteks sosial. Komunikasi dan konsultasi menjadi bagian integral dari suatu
proses manajemen risiko yang senantiasa diperhatikan secara serius dan
dikembangkan oleh pihak-pihak yang telah sepaham mengenai hal ini. Selain itu,
di mana diperlukan, mereka harus secara aktif terlibat dalam pengambilan
keputusan mengenai penerapan kerangka kerja maupun proses manajemen risiko.
KOMUNIKASI DAN KONSULTASI
MONITORING DAN REVIEW
PERLAKUAN RISIKO
MENENTUKAN KONTEKS
ASESMEN RISIKO
IDENTIFIKASI RISIKO
ANALISIS RISIKO
EVALUASI RISIKO
RISIKO TERKENDALI
RISIKO-RISIKO DI DUNIA
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.65
Gambar 2.4. Proses Manajemen Risiko
23
2.5. Menetapkan Konteks (Langkah Manajemen Risiko 1)
Ditetapkannya konteks berarti manajemen organisasi menentukan batasan atau
parameter internal dan eksternal yang akan dijadikan pertimbangan pengelolaan
risiko, menentukan lingkup kerja, dan kriteria risiko untuk proses-proses
selanjutnya. Gambar 2.5. merupakan gambaran akusisi risiko dalam konteks
pengambilan keputusan memilih dan kerjasama dengan supplier dalam IAQG.
Ketidakpahaman akan Biaya dan Jadwal RisikoSaya bisa mempertahankan harga ini di masa depan, sama seperti yang akan terjadi jika saat pertama terjadi kenaikan harga pada bahan? Di jadwal yang agresif, saya
dapat menopang keterlambatan bahan material
Tidak Mengerti apa yang Customer Butuhkan
Implikasi costumer jika keterlambatan terjadi? Apakah ia new market atau market leader?
Ketidakjelasan Perjanjian Kerjasama
Peran dan tanggung jawab yang jelas
Proyek Tim Baru
Bagaimana anggota yang dipilih? Apakah ada tim khusus yang tersedia?
Buruknya Penilaian PemasokDaerah yang dikaji sudah diidentifikasi dengan
baik? Dasar identifikasi? Apakah diukur terhadap baseline?
Lemahnya Manajemen SubkontrakApakah mereka yang di subkontrak mengetahui POCnya?
*Tahu tanggungjawab yang jelas mengenai siapa yang mengelola subkontak? *Titik kontrak
Ketergantungan pada Terobosan Teknologi
Apakah teknologi saya saat ini mengizinkan saya untuk menjadi kompetitif? R&D menyediakan perbaikan untuk
proses saya saat ini agar tujuan biaya terpenuhi
Part Tidak Lengkap/ Gambar Perakitan Menyediakan Subs
Metode/ prosedur untuk identifikasi paket data yanglengkap. Apa yang dipersiapkan? Yang mentransmisikan? POC untuk
permintaan identifikasi?
Persyaratan Prosedur Kurang Terpublikasi ke Bagian Bawah
Kesalahan dalam Pengambilan Keputusan Membuat/ Membeli
Kiriman yang Tidak JelasLaporan pengujian/ dokumen yang dibutuhkan
tersedia? Saya harus mengirim salinan atau mempertahankan file itu memenuhi
Apa yang menjadi tujuan bisnis (Manufaktur atau Sistem intregator)? Apakah proses utamanya telah
teridentifikasi?
Persyaratan terpublikasi/ mengalir ke bawah dengan jelas teridentifikasi? Apakah seluruh bagian
sepenuhnya memahami persyaratan?
Sumber: James Reason, Managing the Risk of Organizational Accidents, 1997,p. 12
Gambar 2.5. Akusisi Manajemen Risiko
2.5.1. Menentukan Konteks Eksternal
Konteks eksternal adalah lingkungan eksternal di mana organisasi tersebut
mengupayakan pencapaian sasaran yang ditetapkannya. Konteks eksternal dapat
meliputi, tetapi tidak terbatas pada hal-hal berikut:
1. Lingkungan politik, sosial, ekonomi, budaya, keuangan, hukum, teknologi, dan
keadaan alam, baik nasional, regional maupun international yang berpengaruh
terhadap pencapaian sasaran organisasi
2. Faktor-faktor pendorong dan kecenderungan yang mempunyai dampak
terhadap pencapaian sasaran organisasi
3. Persepsi dan nilai-nilai para pemangku kepentingan eksternal.
24
Contoh taksonomi risiko akibat pengaruh lingkungan eksternal terhadap
organisasi (faktor Makro) terdapat pada Tabel 2.1. Setiap organisasi mempunyai
ciri dan jenis kegiatan yang khas sehingga pengaruh lingkungan ini berbeda-beda
untuk tiap organisasi. Pimpinan organisasi harus mengembangkan sendiri
taksonomi ini untuk organisasinya.
Tabel 2.1. Contoh Risiko dalam Konteks Eksternal
Pengaruh Lingkungan Eksternal – Faktor Makro
No Faktor Makro Kelompok Resiko Jenis Resiko
1 Ekonomi
1. Kebijakan pemerintah a. Kebijakan fiskal b. Kebijakan moneter
2. Ekonomi makro
a. Tingkat inflasi
b. Tingkat pengangguran c. Tingkat suku bunga
d. Nilai tukar mata uang e. Tingkt Produk Domestik Bruto
3. Ekonomi mikro a. Pendapatan per kapita
b. Agregat demand
2 Politik
1. Politik makro
a. Birokrasi yang berbelit
b. Tingkat korupsi yang tinggi c. Terorisme
d. Nasionalisasi industri e. Perang
2. Politik mikro a. Kebijakan tarif khusus
b. Kebijakan kuota c. Penambahan/pengurangan bea masuk
untuk produk tertentu
3 Sosial
1. Tingkat pendidikan rendah a. Ketersediaan tenaga kerja terdidik b. Pertumbuhan ekonomi rendah
2. Tingkat kriminalitas a. Pencurian, perampokan
b. Penipuan, pemalsuan c. Narkoba
3. Perubahan gaya hidup
a. Gaya hidup yang konsumtif b. Sadar kesehatan
c. Pergerakan demografi d. Jam kerja yang panjang
4 Hukum
1. Hukum perusahaan a. UU Perseroan Terbatas, UU Pasar
Modal dan UU terkait b. UU spesifik industri tertentu
(misalnya UU Migas, UU
Telekomunikasi, dll.
c. Good Governance
2. Hak kekayaan intelektual a. Bajakan b. Merek dagang yang mirip
c. Paten yang ditiru
3. UU Perburuhan a. Pemogokan b. Slowdown
4. Kontrak a. Keabsahan kontrak b. Wanprestasi
5. Hukum Perdata a. Perbuatan melawan hukum
6. UU Perlindungan
Konsumen
a. Product liability
b. Label produk dan jasa yang tidak
sesuai dengan kenyataan
c. Indikasi harga yang "menipu" Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.78
25
2.5.2. Menentukan Konteks Internal
Konteks internal adalah lingkungan internal di mana organisasi tersebut
mengupayakan pencapaian sasaran yang ditetapkannya dan dapat mempengaruhi
cara organisasi dalam mengelola risiko. Penting untuk memahami konteks internal
ini dalam pengertian misalnya sebagai berikut:
1. Kapabilitas organisasi dalam pengertian sumber daya dan sumber pengetahuan
yang dimiliki (misalnya modal, waktu, orang, sistem, proses, dan teknologi)
2. Sistem informasi, alur komunikasi, dan proses pengambilan keputusan, baik
yang formal maupun informal
3. Para pemangku kepentingan internal
4. Kebijakan, sasaran, dan strategi untuk mencapainya
5. Persepsi, nilai-nilai dan budaya organisasi
6. Standar dan model acuan yang diadopsi organisasi
7. Struktur (governance, peran dan akuntabilitas).
Dokumen RKAP, strategi, taktik fungsional, dan hasil analisis internal (Analisis
SWOT, dll.) dapat digunakan sebagai landasan untuk memahami konteks internal
organisasi. Cara lain untuk melengkapi pemahaman konteks internal organisasi
adalah dengan melakukan analisis proses bisnis dan menggunakan penelaahan
taksonomi risiko akibat pengaruh faktor internal (faktor mikro) seperti yang
ditampilkan pada Tabel 2.2. di bawah ini.
Tabel 2.2. Contoh Risiko dalam Konteks Internal
Pengaruh Lingkungan Internal – Faktor Mikro
No Faktor
Mikro Kelompok Risiko Jenis Risiko
1 Keuangan
1. Likuiditas
a. A/R overdue
b. A/P overdue
c. Acid rasio rendah
2. Nilai tukar mata uang
a. Fluktuasi nilai
b. Heedging risk
c. Exposure risk
3. Pembiayaan pinjaman
a. Kecukupan modal kerja
b. Interest risk
c. Kelangkaan collateral
d. Default risk
26
2 Operational
1. Strategi
a. Sasaran yang kabur, tidak terukur
b. Analisis lingkungan internal dan eksternal yang
kurang dalam
c. Pemilihan strategi dan taktik kurang tepat
d. Sumber daya tidak memadai untuk pelaksanaan
stategi
2. Manusia
a. Kompetensi tidak memadai
b. Kecurangan, pencurian
c. Turnover yang tinggi
d. Kepuasan karyawan rendah
3. Proses dan sistem
a. SOP dan kebijakan manajemen kurang memadai
b. Sistem pengendalian mutu kurang handal
c. Sistem kontrol kurang memadai
3 Teknologi
1. Teknologi dan
informasi
a. Keandalan software
b. Keandalan hardware
c. Back up data
2. Teknologi
manufacturing
a. Stabilitas proses
b. Kualitas dan produktivitas
c. Pemakaian energi
d. Computer aided manufactur
3. Teknologi komunikasi
a. E-commerce
b. Video / tele conferencing
c. E-mail
d. Broadband communication
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.80
2.5.3. Menetapkan Konteks Proses Manajemen Risiko
Konteks proses manajemen risiko akan berubah sesuai dengan kebutuhan
organisasi. Hal ini dapat meliputi, tetapi tidak terbatas pada hal-hal sebagai
berikut:
1. Penetapan tanggung jawab untuk proses manajemen risiko
2. Penetapan lingkup kegiatan manajemen risiko, baik dari luar maupun
kedalamannya, termasuk bila ada hal-hal khusus yang harus diperhatikan atau
tidak dicakup
3. Penentuan tujuan, sasaran, lokasi, maupun tempat dari kegiatan, proses, fungsi,
proyek, produk jasa dan harta yang terkena kegiatan manajemen risiko
4. Penentuan hubungan dari proyek atau kegiatan khusus organisasi dengan
proyek dan kegiatan lain organisasi
5. Penentuan metode untuk melakukan asesmen risiko
6. Penentuan kriteria penilaian kinerja manajemen risiko
27
7. Melakukan identifikasi dan spesifikasi keputusan-keputusan yang harus
diambil
8. Melakukan identifikasi, lingkup, ataupun kerangka kajian studi yang
diperlukan, termasuk luas dan sasarannya serta sumber daya yang diperlukan
untuk melakukan kajian tersebut.
Beberapa faktor yang perlu diperhatikan pada saat menyusun kriteria risiko antara
lain:
1. Jenis dan sifat dari dampak yang mungkin terjadi serta bagaimana
mengukurnya
2. Bagaimana menetapkan kemungkinan terjadinya
3. Kerangka waktu pengukuran kemungkinan dan dampak
4. Bagaimana menentukan peringkat risiko
5. Pada peringkat manakah risiko dapat diterima atau dapat ditolerir
6. Pada peringkat manakah risiko memerlukan perlakuan
7. Apakah kombinasi dari berbagai macam risiko perlu mendapatkan
pertimbangan khusus.
2.5.4. Selera Risiko (Risk Appetite)
Setelah perlakuan terhadap suatu risiko dilaksanakan maka akan terjadi penurunan
kemungkinan terjadinya risiko atau penurunan dampak risiko tersebut. Risiko
dengan kemungkinan dan dampak tersisa ini dikenal sebagai risiko tersisa
(residual risk), yaitu risiko yang masih ada setelah dilaksanakan perlakuan risiko.
Risiko tersisa ini dapat diterima atau tidak, tergantung dari tingkat selera risiko
yang telah ditetapkan oleh manajemen seperti pada Tabel 2.3.
Tabel 2.3. Peta Toleransi Risiko Versus Selera Risiko
Dampak Kegagalan Toleransi Terhadap-
Kegagalan Jenis Kegiatan Tingkat Otorisasi Selera Risiko
Rendah Tinggi Penunjang Manager atau Supervisor Besar
Menengah rendah Sedang Operasional General Manager Fungsional Sedang
Menengah tinggi Rendah Keuangan dan kepatuhan
Direksi Kecil
Tinggi Rendah sekali Strategis dan kritis Direksi dan Dewan Komisaris Kecil sekali
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.83
28
Dari Tabel 2.3. dapat dilihat bahwa semakin kritis suatu kegiatan, semakin kecil
selera risiko yang ada. Artinya, toleransi terhadap kegagalan yang semakin kecil
berakibat pada pengendalian risiko menjadi sangat ketat.
2.6. Identifikasi Risiko (Langkah Manajemen Risiko 2)
Sasaran dari tahapan ini adalah membuat daftar risiko secara komprehensif dan
luas yang dapat memengaruhi pencapaian sasaran, baik meningkatkan,
menghalangi, memperlambat, atau bahkan menggagalkan pencapaian sasaran
organisasi. Perlu juga diidentifikasi risiko-risiko yang terjadi bila peluang yang
ada tidak kita ambil. Risiko yang tidak teridentifikasi pada tahapan ini tidak akan
diikutsertakan pada proses-proses berikutnya. Identifikasi risiko ini juga
dilakukan terhadap sumber-sumber risiko, baik yang di dalam kendali maupun
yang di luar kendali organisasi.
Proses identifikasi risiko, informasi yang dikumpulkan antara lain mencakup:
1. Sumber risiko: stakeholders, benda, atau kondisi lingkungan yang dapat
memicu timbulnya risiko
2. Kejadian: peristiwa yang dapat terjadi dan berdampak terhadap pencapaian
sasaran dan target
3. Konsekuensi: dampak terhadap aset organisasi atau stakeholders
4. Pemicu (apa dan mengapa): faktor-faktor yang menjadi pemicu timbulnya
suatu peristiwa berisiko
5. Pengendalian: langkah-langkah antisipasi dan pencegahan awal yang dapat
dilaksanakan
6. Perkiraan kapan risiko terjadi dan di mana risiko itu dapat terjadi.
Elemen-elemen kunci di atas dapat bertambah atau malah berkurang tergantung
kebutuhan pada saat menetapkan konteks manajemen risiko.
2.6.1. Informasi yang Dikumpulkan
Titik awal untuk identifikasi adalah mengumpulkan informasi historis baik yang
berasal dari dalam organisasi atau, jika tidak tersedia, bisa juga dari organisasi-
organisasi sejenis (industrial benchmark) yang kemudian dimatangkan melalui
29
diskusi dengan pihak-pihak terkait. Isu yang didiskusikan ini dapat berupa isu-isu
historis, masa kini, dan yang terus berkembang. Contohnya adalah sebagai
berikut:
1. Pengalaman lokal atau internasional
2. Informasi menurut pendapat ahli
3. Informasi hasil wawancara terstruktur
4. Informasi dari Focus Group Discussion
5. Rencana Jangka Panjang, Rencana Kerja dan Anggaran Perusahaan lengkap
dengan analisis SWOT atau analisis lingkungan bisnis lainnya
6. Laporan-laporan klaim asuransi atau mitra kerja lainnya, pelanggan, dan
stakeholders lainnya
7. Laporan-laporan manajemen
8. Laporan-laporan auditor dan pemeriksa lainnya
9. Hasil-hasil survei internal maupun eksternal
10. Hasil-hasil self-assessment
11. Data-data historis, database insiden, analisis kegagalan misalnya Failure
Mode & Effect Analysis, risk register yang sudah ada (jika pernah dibuat)
12. Data Iain-lain yang dianggap penting.
2.6.2. Metode Identifikasi Risiko
Metode dan pendekatan yang digunakan untuk mengidentifikasi risiko tergantung
pada proses penentuan konteks manajemen risiko. Proses identifikasi risiko dapat
menggunakan berbagai metode, antara lain metode yang berbasis brainstorming,
check list, flowcharting, dan metode lainnya. Metode yang akan digunakan untuk
mengidentifikasikan risiko merupakan lanjutan dari metode yang digunakan pada
tahapan menentukan konteks manajemen risiko, dan bila diperlukan diperlengkap
atau diperdalam dengan metode lain.
30
2.6.2.1. Risk Breakdown Structure (RBS)
RBS adalah pengelompokan risiko dalam suatu komposisi hirarkis risiko
organisasi yang logis, sistematis, dan terstruktur secara alami sesuai dengan
struktur organisasi atau proyek. RBS telah diakui sebagai metode yang berguna
untuk proses penataan proses risiko menurut Project Management Institute 2004.
Project Management Institute melalui tim SME (Subject Matter Expert(s)) atau
pakar khusus yang bekerja pada Standar Praktek Manajemen Risiko menemukan
alat atau metode RBS. Sasaran penerapan RBS adalah kejelasan pemangku risiko
dan peningkatan pemahaman risiko organisasi atau proyek dalam konteks
kerangka kerja yang logis serta sistematis.
Gambaran Umum Metode
RBS terdiri dari dua tahapan, yaitu tahap pengembangan RBS dan tahap
penerapannya. Tahap pengembangan meliputi penyusunan hirarki yang
didasarkan pada struktur organisasi atau struktur proyek yang ada, atau
berdasarkan pengalaman yang lalu. Hasil pengembangan RBS pada tahap pertama
akan berfungsi sebagai sumber informasi pada tahap berikutnya untuk proses
identifikasi risiko, analisis risiko, dan pelaporan risiko. Secara keseluruhan, RBS
ini mirip dengan aplikasi dari pengembangan risks taxonomy, hanya lebih
mengacu pada struktur organisasi yang ada atau WBS yang telah dikembangkan.
Tahapan Pelaksanaan RBS
Pada penerapan untuk organisasi, selain proses bisnis juga didasarkan pada
struktur organisasi yang ada. Sebagai input untuk proses penyusunan RBS adalah
risiko-risiko yang pernah dialami dan hampir selalu berulang. Begitu pula dengan
sumber-sumber risiko yang telah diketahui. Hasil proses pengembangan RBS ini
dapat berbentuk urutan hirarki potensi sumber risiko bagi organisasi dan
seringkali mempunyai tampilan seperti bagan organisasi. Pelaksanaan
pengembangan RBS ini dapat dilakukan dengan pendekatan top-down atau
bottom-up.
31
Tahapan utama dalam menyusun RBS dengan pendekatan top-bottom adalah
sebagai berikut:
1. Identifikasi kelompok-kelompok besar sumber risiko.
2. Jabarkan kelompok besar sumber risiko tadi menjadi tingkatan risiko yang
lebih kecil lagi.
3. Hasil penjabaran di atas juga masih harus dijabarkan lagi menjadi sub-
kelompok yang lebih kecil dan dilakukan secara berulang hingga proses
dekomposisi ini mencapai tahapan yang memungkinkan penanganan risiko
dalam tataran yang memuaskan.
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.90
Gambar 2.6. Contoh Sederhana RBS
Penyusunan RBS pada dasarnya tidak memerlukan peralatan khusus karena lebih
bersifat administratif. Yang diperlukan adalah kreativitas dan partisipasi anggota
organisasi yang memahami proses organisasi serta dapat membedakan secara rinci
potensi risiko yang ada. RBS akan sangat membantu dalam proses perencanaan
manajemen risiko untuk mengidentifikasi potensi risiko, sekaligus keterkaitannya
dengan para pemangku risiko dalam organisasi.
32
Hal yang kurang terlihat dalam penggunaan RBS adalah identifikasi risiko
eksternal (dampak dari kondisi ekonomi, politik, sosial, hukum, dll.). Untuk hal
ini, perlu kewaspadaan pimpinan organisasi dalam memetakan potensi risiko yang
mungkin terjadi dan mengalokasikannya kepada pemangku risiko terkait secara
tepat.
2.6.2.2. Metode Diagram Turtle
Turtle diagram adalah alat kontrol kualitas yang digunakan untuk melihat
karakteristik tampilan proses diantaranya input, output (perkiraan), kriteria
(metriks) dan informasi penting lainnya untuk mengambil keputusan yang efektif
dan kunci perbaikan dalam proses bisnis. Dalam menyusun turtle diagram
dibutuhkan beberapa langkah agar informasi yang didapatkan sesuai dengan
kondisi yang ada. Maka dari itu proses audit dilakukan, anggota tim audit harus
terlebih dahulu membuat peta dan kemudian memahami bisnis, produksi, dan
proses kontrol dalam lingkup audit. Mereka mempersiapkan individu dan lembar
kerja untuk menentukan kriteria audit dan bukti objektif, kemudian mereka
mengumpulkan bukti melalui pengamatan, wawancara, dan pemeriksaan. Data
dirakit menjadi temuan, sedemikian rupa sehingga stakeholder mengubah
kekurangan dan melakukan perbaikan terus menerus. Audit memberikan
informasi untuk mengambil keputusan. Proses audit berfungsi untuk
membandingkan serta mengumpulkan bukti yang mensyaratkan kewajiban.
Auditor membantu operasi dengan memeriksa proses bisnis dan bagaimana
mereka dikendalikan. Hal ini memerlukan tujuh langkah sebagai berikut:
Langkah 1: Apa yang mereka buat? (menentukan barang dan pelayanan yang
ditawarkan organisasi untuk diaudit). Setiap organisasi menghasilkan produk.
Dalam rangka untuk mengevaluasi kontrol digunakan untuk membuat produk,
auditor harus terlebih dahulu tahu tentang produk. Ini bukan hanya untuk operasi
manufaktur.
33
Langkah 2: Bagaimana mereka membuatnya? produk adalah hasil dari satu atau
lebih proses? Auditor harus mengidentifikasi berbagai langkah proses yang
digunakan untuk membuat produk. Banyak auditor menggunakan flowchart.
Setiap kotak flowchart harus mulai dengan kata kerja, untuk menekankan
transformasi input ke output. Gabungkan beberapa proses sehingga sistem dapat
terlihat.
Langkah 3: Memahami proses. Ada tiga cara memeriksa proses untuk
pemahaman yang lebih. Metode pertama adalah empat model kotak sederhana;
Input, output, kontrol, dan sumber daya membentuk kotak. Ini adalah model yang
cukup berguna dalam mendapatkan definisi berbagai parameter proses.
Model kedua untuk menganalisis proses leaves. Model ini meneliti enam proses
universal affecters, awalnya ditangkap oleh Ishikawa dan digunakan dalam
diagram tulang ikan pendekatan pemecahan masalah. Keenam affecters adalah:
1. Metode. Sebagai petunjuk menyelesaikan masalah.
2. Bahan. Hal- hal yang digunakan oleh proses.
3. Tenaga Kerja. Manusia kompeten yang diperlukan untuk tugas.
4. Pengukuran. Data diambil pada proses dan penggunaannya.
5. Mesin. Peralatan yang digunakan untuk melakukan tindakan.
6. Lingkungan. Pengaruh luar pada proses.
Dengan menggunakan model kedua, enam affecters, bisa sangat kompleks.
Auditor membutuhkan waktu lama untuk memeriksa semua affecters di semua
proses yang akan diaudit. Untungnya, ada model ketiga, yang menggabungkan
kesederhanaan empat kotak dan ketelitian dari proses affecters. Model ini disebut
diagram turtle karena terlihat seperti penyu/ turtle (lihat Gambar 2.7.).
Turtle Diagram didefinisikan dengan bagian tubuh turtle yang dibagi kedalam
tujuh bagian diantaranya:
1. Input (Daftar hal- hal yang masuk ke proses) digambarkan dengan mulut
penyu.
34
2. Nama Proses (Apa proses yang sedang diamati?) digambarkan dengan badan
penyu.
3. Output (Apa yang telah berubah dan sedang diteruskan ke proses lain?)
digambarkan dengan ekor penyu.
4. Dengan Apa (Apa saja bahan dan peralatan yang digunakan oleh proses?)
digambarkan dengan kaki kanan atas.
5. Dengan siapa (Apa saja orang persyaratan untuk proses ini?) digambarkan
dengan kaki kanan bawah.
6. Bagaimana (Apa saja mendukung proses dan metode yang digunakan untuk
transformasi?) digambarkan dengan kaki kiri atas.
7. Apa hasil (Apa saja indikator kinerja proses?) digambarkan dengan kaki kiri
bawah.
Gambar 2.7. Diagram Turtle
Langkah 4: Tentukan bukti objektif kebutuhan dengan siapa? (Kompetensi,
Keterampilan, Pelatihan). Keluaran Proses hasil apa? (Indikator Kinerja) Sumber:
AIAG 2003. Satu set lembar kerja dibutuhkan untuk membimbing auditor dalam
memperoleh fakta yang diperlukan sementara melakukan audit. Mereka harus
objektif dan berdasarkan persyaratan yang didefinisikan dalam langkah 3 (turtle
diagram) di atas.
35
Langkah 5: Mengumpulkan bukti objektif (auditor mengumpulkan lima jenis
informasi):
1. Bukti fisik, seperti ukuran, bentuk, warna, dan suhu
2. Bukti sensor, dari pandangan, suara, bau, dan kadang- kadang bahkan rasa
3. Dokumen, termasuk dokumen (sebelum aktivitas) dan catatan (setelah
aktivitas)
4. Wawancara, diperoleh dengan mengajukan pertanyaan pada yang bersangkutan
5. Pola, termasuk persentase, tren dan rasio
Auditor biasanya akan mendapatkan bukti ini melalui penelitian, teknik berikut
tindakan (proses) dari langkah ke langkah berikutnya. Semua informasi ini
ditangkap dalam lembar kerja, yang bertindak sebagai auditor catatan lapangan.
Langkah 6: Menganalisis data dengan menyortir data penting. Auditor harus
meninjau catatan lapangan dan mengidentifikasi pengamatan. Setelah itu
membuat daftar induk yang baik fakta dan fakta buruk. Setelah daftar induk
dibuat, akan dipilih berdasar tingkat dan kepentingannya.
Langkah 7: Menyajikan kesimpulan. Periksa semua temuan dan praktik positif,
bersama dengan pandangan dan pendapat dari seluruh pengalaman audit, untuk
mengembangkan kesimpulan keseluruhan. Apakah proses didefinisikan dan
memegang kendali? Apakah operasi aman dan ada dalam batas peraturan?
eksternal dan internal kebutuhan pelanggan terpenuhi? Temuan, praktik positif,
dan kesimpulan yang dipresentasikan pada penutupan pada akhir dan secara resmi
diketahui di laporan audit.
2.6.3. Hasil Proses Identifikasi Risiko
Secara umum, struktur isi dari daftar risiko meliputi tiga hal, yaitu untuk
pengendalian dokumen, identitas risiko, dan riwayat risiko. Ketiganya dapat
disusun berupa tabel risiko. Berikut ini merupakan contoh tabel hasil dokumentasi
identifikasi risiko kriteria yang dapat digunakan untuk mengidentifikasi risiko.
Hasil identifikasi risiko dapat dimuat dalam tabel seperti Tabel 2.4.
36
Tabel 2.4. Identifikasi Risiko Supplier
Faktor
Risiko Elemen untuk Penilaian Alat Identifikasi Risiko Alat Kontrol untuk Mengurangi Risiko
Kualitas
1 Persetujuan Sistem Kualitas/
Sertifikasi:
Aerospace (EN 9100 series,
regulatory authority requirement
etc.)
Non Aerospace Costumer
1 Ceklis unsur-unsur untuk
menilai risiko yang
meliputi:
1 Persetujuan rencana
perbaikan
berkesinambungan oleh supplier dengan indikator
wajib pemasok dan
permintaantindakan korektif
Penilaian kualitas sistem
menurut EN 9101 dengan hasil penilaian.
2 Rencana jaminan kualitas
Ceklis Tambahan untuk
elemen lainnya
3 Pelatihan spesifik dalam
identifikasi kelemahan dan
spesifikasi kebutuhan
2 Persetujuan proses sepesial/
sertifikasi (costumers, NADCAP,
etc.)
4 Memilih bagian yang
relevan
3 Pengalaman supplier sebelumnya dalam kesamaan produk harus
teridentifikasi
5 Peningkatan inspeksi penerimaan produk
4 Referensi saat ini mengenai
Costumers Aerospace
6 Identifikasi kekakuan
parameter proses
5 Review kontrak proses 7 Tempatan bantuan
(termasuk orang-orang di waktu yang terbatas)
6 Indikator performa kualitas
(catatan, tingkat konsesi, hasil
sistem penilaian kualitas, hasil audit costumers).
8 FAI wajib untuk tiap EN
9102
9 variasi proses dari
manajemen (SPC)
10 Pengiriman kebutuhan
diluar jadwal versus MRP
11 Dual sumber
12 Buffer persediaan
Keamanan
Lingkungan
1 Sertifikasi ISO 14001 1 Ceklis spesifik tergantung dari sifat pasokan
1 Rencana mitigasi
2 Keterlibatan bahaya produksi 2 Analisis akan keselamatan
kontrol peraturan yang berlaku oleh supplier
2 Dual sumber
3 Klasifikasi keselamatan pabrik (jika ada)
3 Gambaran aksi rencana pemasok
3 Buffer persediaan
4 Tingkat kecelakaan tahun lalu
dengan tren
6 Kebijakan keamanan
(Ketersediaan peralatan)
7 Pelatihan kesehatan &
keselamatan
Lingkungan
Kerja
1 Kebutuhan EN 9100 (Bagian peraturan)
1 Ceklis spesifik tergantung dari sifat pasokan
1 Pencegahan dan atau rencana aksi korektif
2 Penilaian kualitas sistem
menurut EN 9101
2 Bagian proses spesifik
rencana lingkungan kerja
Sumber: IAQG,p.16
37
2.7. Analisis Risiko (Langkah Manajemen Risiko 3)
Analisis risiko adalah upaya untuk memahami risiko lebih dalam. Hasil analisis
risiko ini akan menjadi masukan bagi evaluasi risiko dan untuk proses
pengambilan keputusan mengenai perlakuan terhadap risiko tersebut. Analisis
risiko meliputi kegiatan-kegiatan yang menganalisis sumber risiko dan pemicu
terjadinya risiko, dampak positif dan negatifnya, serta kemungkinan terjadinya.
Analisis dapat dilakukan secara kuantitatif, semi kuantitatif, kualitatif, atau
kombinasi dari cara-cara ini, tergantung dari kondisi yang ada. Dalam praktik
biasanya dilakukan analisis kualitatif terlebih dahulu untuk mendapatkan indikasi
umum tingkat kegiatan risiko dan mengetahui peta risiko serta risiko-risiko yang
gawat. Setelah itu, sesuai dengan keperluan, harus dilaksanakan langkah
berikutnya dengan melakukan analisis yang lebih spesifik dan secara kuantitatif.
2.7.1. Dasar Analisis
Pilihan metode analisis ditentukan oleh konteks, sasaran, dan sumber daya yang
tersedia. Pada tingkat unit bisnis atau proyek, para Manajer perlu mengidentifikasi
dan memprioritaskan risiko-risiko spesifik yang mengancam pencapaian sasaran/
target yang ditetapkan. Oleh karena itu beberapa risiko perlu diuji lebih rinci lagi.
Berikut ini adalah alasan-alasan diperlukannya analisis risiko secara kualitatif atau
kuantitatif, yaitu:
1. Untuk memeroleh lebih banyak informasi tentang konsekuensi atau
kemungkinan sehingga keputusan mengenai prioritas risiko dapat berbasis data
dan informasi daripada menduga-duga
2. Untuk lebih memahami risiko dan penyebabnya sehingga rencana penanganan
dapat diarahkan pada akar penyebab sebenarnya, bukan pada gejala dari suatu
permasalahan
3. Di mana kriteria keputusan memerlukan analisis yang lebih mendalam, karena
kriteria tersebut dinyatakan secara kualitatif
4. Membantu setiap orang memilih opsi-opsi yang memiliki perbedaan dalam hal
biaya dan manfaat serta potensi peluang dan ancaman
38
5. Menyediakan pemahaman yang lebih baik tentang risiko kepada individu yang
harus bekerja dengan menghadapi risiko
6. Menyediakan pemahaman mengenai risiko tersisa setelah strategi penanganan
risiko diterapkan.
2.7.2. Metode Analisis Risiko
Terdapat beberapa macam metode analisis sesuai dengan jenis pengukuran dan
skala yang digunakan untuk mengukur faktor-faktor risiko. Sesuai dengan
pemahaman ini maka terdapat dua macam metode analisis risiko, yaitu analisis
kualitatif dan analisis kuantitatif (termasuk di dalamnya analisis semi kuantitatif).
2.7.2.1. Analisis Kualitatif
Analisis kualitatif didasarkan pada suatu pengalaman dan pengetahuan dari para
subjek dan pemangku risiko terkait (tacit knowledge) sehingga data yang
digunakan lebih bersifat tidak dalam bentuk terukur, melainkan suatu pernyataan
atau suatu gambaran. Untuk sektor riil, ini adalah kenyataan yang paling banyak
dijumpai, karena data-data terkait dengan risiko masih belum terkompilasi dengan
baik. Selain kurangnya data, aspek lain yang mendorong penggunaan analisis
kualitatif antara lain:
1. Presisi kuantitatif tidak diperlukan.
2. Analisis kualitatif digunakan untuk pemeriksaan awal suatu risiko sebelum
diputuskan apakah perlu dilakukan analisis yang lebih mendalam lagi.
3. Tingkat risiko yang diperkirakan tidak sebanding dengan waktu dan sumber
daya yang dibutuhkan untuk melakukan analisis kuantitatif.
2.7.2.2. Analisis Kuantitatif dan Semi Kuantitatif
Penggunaan metode analisis kuantitatif, khususnya pengertian nilai probabilitas
yang akan digunakan, memerlukan suatu data yang memadai sehingga pemberian
angka tersebut memang mempunyai makna yang benar, dan sesuai dengan kaidah
statistik. Untuk analisis semi kuantitatif, formulasi nilai pada aspek kemungkinan
bukanlah nilai probabilitas melainkan suatu prediksi berdasarkan pengalaman dan
39
pengetahuan. Formulasi deskripsi menjadi angka diperlukan untuk proses analisis.
Contoh dalam hal ini, misalnya kemungkinan suatu kejadian adalah "sangat besar"
diberikan nilai 0,90.
Melalui formulasi semacam ini maka tingkat risiko dapat dikalkulasi
menggunakan metode kuantitatif, di mana dampak dan kemungkinan kejadian
dapat dikuantifikasi. Contohnya adalah kejadian dalam suatu proyek, di mana
kemungkinan risiko dan dampaknya dapat diekspresikan secara numerik dan
potensi dampak diukur dalam satuan materi misalnya jumlah uang.
Bentuk paling sederhana dari analisis kuantitatif sama dengan konsep untuk semi-
kuantitatif. Hanya, teknik analisis kuantitatif biasanya digunakan dalam
memanipulasi nilai-nilai kedua komponen risiko menggunakan metode dan teknik
yang lebih canggih. Selain itu, juga menggunakan teknik pengumpulan data serta
analisis data yang lebih komprehensif dan mendalam.
2.7.2.3. Skema Pemeringkatan Risiko
Teknik ini merupakan metode analisis kualitatif yang paling sederhana dan paling
sering digunakan. Skema pemeringkatan risiko haruslah distandarisasikan dan
digunakan secara konsisten untuk keseluruhan organisasi. Ini penting untuk
mendapatkan kesamaan pemahaman terhadap pengertian kemungkinan dan
dampak yang akan digunakan. Melalui skema ini akan ditentukan gambaran dan
kuantifikasi atau besaran yang akan digunakan untuk istilah-istilah yang
digunakan, seperti "besar", "sedang", dan "rendah".
Input untuk mengembangkan skema peringkat berasal dari mereka-mereka yang
berpenga-laman dalam organisasi atau proyek dan mempunyai keahlian dalam
bidang tersebut. Dengan demikian, diperoleh uraian yang "cocok dan pas" untuk
nilai kemungkinan serta dampak yang akan digunakan. Metode pengumpulan
informasi ini dapat dilakukan juga dengan teknik Expert Judgement, baik melalui
metode terstruktur seperti Delphi Technique maupun melalui wawancara atau
40
bentuk Focus Group Discussion lainnya. Hal ini penting untuk mengurangi aspek
subjektif dan kelemahan tidak tersedianya data yang memadai. Masukan dari para
ahli ini kemudian akan diolah oleh penanggung jawab manajemen risiko menjadi
peringkat yang akan digunakan dan disahkan oleh manajemen organisasi menjadi
standar bagi seluruh organisasi.
2.7.3. Penilaian Risiko/ Scoring
Bentuk-bentuk formulasi untuk penilaian tersebut adalah:
1. Jika dianggap bahwa tingkat risiko adalah proporsional terhadap setiap
komponennya (konsekuensi dan kemungkinan), fungsi risiko pada dasarnya
adalah sebuah perkalian. Secara matematis dapat ditunjukkan sebagai berikut:
Risiko = Dampak x Kemungkinan (R = D x K)
2. Bila terdapat hubungan yang kompleks dan terdapat faktor non-linear antara
kegunaan dan nilai konsekuensi. Hasilnya, untuk analisis kuantitatif, suatu
korelasi yang memenuhi gambaran kompleksitas mungkin membutuhkan
faktor pembobotan untuk salah satu atau kedua komponen risiko tersebut.
Selain itu, mungkin juga diperlukan suatu operator eksponensial untuk salah
satu atau kedua komponen risiko tersebut. Contoh hasil formulasi ini adalah:
Risiko = ( D x Fator Pembobotan) x (K)
Deskripsi risiko di atas hanya benar untuk suatu kelompok risiko tertentu saja.
Contohnya, ketika frekuensi kejadian yang tinggi atau suatu kejadian hampir pasti
maka risikonya menjadi sama dengan dampak itu sendiri. Dengan kata lain, pada
situasi ini risiko adalah dampaknya. Demikian juga untuk dampak risiko yang
tinggi. Karena tidak dapat diterima maka frekuensi kejadian menjadi faktor yang
tidak relevan lagi.
41
Bagian ini menyediakan alat untuk mencetak atau menilai tingkat risiko. Metode
pertama memungkinkan untuk menilai tingkat risiko sebagai salah satu variabel,
yang kedua memungkinkan untuk menilai tingkat risiko sebagai dua variabel
bebas risiko kemungkinan dan risiko konsekuensi atau dampak.
Tabel 2.5. Penilaian Tingkat Risiko
Produk: stringer Sec. 14/15 Tingkat Risiko
Pem
bo
bo
tan
Ha
sil
Ma
ksi
ma
l
Kem
un
gk
ina
n
Ha
sil
No.901
Penilaian Risiko Produk (PRA) 1 2 3 4 Daftar Risiko
Ya Tidak
N'A Klasifikasi keselamatan
N'A.1 Klasifikasi keamanan
tanggungjawab proses 3 2 6 8 Ya
N'A.2 Klasifikasi bagian manufaktur 1 0,5 0,5 2
N'A.3 Pengendalian bagian klasifikasi
pada kebutuhan pelanggan 4 1 4 4 Ya
N'A.4 Penerimaan status pelanggan 1 1 1 4
Total risiko 3 4,5 11,5 18
R →
5 12,7 20 ← M
Penentuan Penilaian Risiko Produk
(PRAS) =
R x 20 =
11,5 x 20 = 12,7
M
18
15
D C B A
S. Tinggi 15<R<28 Tinggi 11<R<15 Sedang 11<R<7 Rendah 5<R<7
Penanggung jawab risiko menyetujui penilaian risiko
Representatif: Tanda Tangan: Tanggal:
Smith
Sumber: IAQG,p.9020
Berikut ini merupakan instruksi penggunaan untuk menilai tingkat risiko pada
Tabel di atas:
1. Berikan nomor unik untuk tujuan penelusuran.
2. Setiap elemen dinilai untuk menentukan bentuk tingkat risiko rendah (1)
sampai sangat tinggi (4).
42
3. Definisikan pembobotan untuk setiap elemen atau bagian (tidak dilakukan pada
saat yang bersamaan).
4. Kalikan level risiko dengan pembobotan untuk setiap elemen atau unsur yang
dinilai untuk menentukan hasilnya.
5. Kalikan nilai maksimal tingkat risiko dengan pembobotan untuk mendapatkan
hasil maksimum yang mungkin untuk setiap nilai elemen atau bagian.
6. Indikasikan “ya” atau “tidak” apakah perlu mengisi formulir daftar risiko untuk
manajemen risiko.
7. Tambahan elemen yang dinilai atau risiko bagian untuk total risiko dan
bandingkan dengan risiko maksimum yang mungkin terjadi.
8. Buat peringkat setelah mendefinisikan batas untuk setiap tingkat.
2.7.4. Tentukan Kemungkinan dan Tingkat Konsekuensi
Kemungkinan, dan konsekuensi (dampak) harus ditentukan dengan menggunakan
metode yang sama dan kriteria (seperti yang sama tabel penilaian atau template).
Penilaian awal dari tingkat didasarkan pada informasi dari pemilik risiko. Untuk
menentukan kemungkinan tingkat, pilih tingkat dari “tabel penilaian," seperti
yang ditunjukkan pada Tabel 2.5. Tabel subjektif ini berisi nilai yang tidak boleh
digunakan untuk metode kuantitatif (perhitungan).
Panduan umum untuk menentukan besar angka kemungkinan adalah:
1. Bila tidak ada atau sedikit sekali data tersedia maka dapat digunakan apa yang
disebut sebagai:
a. Subjective Probability, yaitu angka kemungkinan yang diberikan oleh
seseorang yang ahli pada kasus terkait dan berdasarkan berbagai informasi
serta pengalaman yang ia miliki tentang kondisi tersebut. Cara
memerolehnya dapat dilakukan melalui teknik expert interview dan hasilnya
sering disebut sebagai expert judgement.
b. Uniform distribution probability, yaitu menganggap semua kemungkinan
mempunyai kesempatan yang sama untuk terjadi.
c. Probability matrix adalah sebuah tabel yang memberikan uraian tentang
kemungkinan dalam bentuk kualitatif atau kuantitatif, lengkap dengan
43
sebutannya. Bila tersedia, juga data perkiraan kelompok jumlah frekuensi
kejadian dalam jangka waktu tertentu, misalnya satu kali setiap lima tahun.
Tabel 2.6. adalah contoh tabel matriks probabilitas.
Tabel 2.6. Contoh Sederhana Matriks Probabilitas
Kriteria Probabilitas Uraian Frekuensi/thn
Sangat kecil 0.10 Hampir tidak mungkin terjadi 1-5 kejadian
Kecil 0.30 Kemungkinan kecil terjadi 6-10 kejadian
Sedang 0.50 Dapat terjadi, dapat juga tidak.
Kemungkinan fifty-fifty 11-20 kejadian
Besar 0.70 Besar kemungkinannya terjadi 21-50 kejadian
Sangat besar 0.90 Hampir pasti terjadi Lebih dari 50 x terjadi
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.104
2. Bila terdapat data yang cukup banyak di masa lalu mengenai risiko-risiko yang
telah terjadi bisa dibuat model matematika dan pola distribusinya.
Besarnya dampak risiko yang dapat ditolerir oleh suatu organisasi harus
dirumuskan secara jelas. Ini dikenal dengan istilah selera risiko atau toleransi
risiko (risk appetite). Besaran-besaran ini sepenuhnya menjadi kewenangan
manajemen puncak organisasi dan bagi unit kerja adalah pimpinan unit kerjanya.
Tabel 2.7. adalah tabel sederhana dari dampak secara kualitatif.
Tabel 2.7. Skala Dampak Sederhana
Sebutan Uraian Peringkat
Bencana Semua sasaran tidak dapat tercapai I
Besar Sasaran-sasaran penting tidak dapat tercapai II
Sedang Memengaruhi pencapaian beberapa sasaran III
Kecil Kerusakan kecil yang mudah diperbaiki kembali IV
Sangat kecil Dampak kecil terhadap sasaran yang dapat diabaikan V
Sumber: Leo J S, Panduan Manajemen Risiko Berbasis ISO 31000, 2009,p.105
2.8. Evaluasi Risiko (Langkah Manajemen Risiko 4)
Keputusan dalam mengevaluasi biasanya didasarkan pada peringkat risiko yang
telah diperoleh dari hasil analisis risiko, tetapi dapat juga didasarkan atas nilai
ambang yang ditetapkan sesuai dengan:
1. Tingkat dampak yang telah ditentukan
44
2. Kemungkinan timbulnya suatu kejadian tertentu
3. Efek kumulatif dari beberapa kejadian
4. Rentang ketidakpastian terhadap tingkat-tingkat risiko pada satu level
kepercayaan.
Kriteria-kriteria evaluasi risiko tersebut di atas pada dasarnya harus disusun secara
objektif dan dapat dinyatakan baik secara kualitatif maupun kuantitatif.
2.8.1. Metode Evaluasi Kualitatif
Sarana yang digunakan adalah hasil pemeringkatan risiko seperti yang
dilaksanakan pada metode analisis kualitatif. Urutan prioritas-risiko yang
memerlukan perlakuan disusun sesuai dengan peringkat yang dihasilkan.
Sebagai contoh, kegiatan sebuah proyek biasanya mempunyai dampak biaya,
waktu, dan mutu. Keterlambatan pengadaan kontraktor mungkin berdampak besar
terhadap waktu, tetapi kecil terhadap biaya dan mutu. Contoh lainnya, untuk
industri penerbangan, kelalaian dalam perawatan mesin bukan hanya dapat
berdampak terhadap kerusakan yang berarti biaya, tetapi juga terhadap
keselamatan penerbangan.
Terdapat solusi yang diusulkan untuk kondisi tersebut di atas yaitu menentukan
bobot masing-masing unsur risiko tersebut, atau kemungkinan terjadinya dampak
ke-1, dampak ke-2, dan dampak ke-3. Jumlah total hasil perkalian bobot dengan
nilai peringkat dari tiap unsur risiko tersebut akan menentukan urutan prioritas
risiko-risiko terkait.
2.8.2. Metode Evaluasi Kuantitatif
Perlu diingat bahwa penggunaan metode evaluasi kuantitatif memerlukan
ketersediaan data yang cukup dan akurat, serta informasi mengenai distribusi
probabilitas yang jelas. Tanpa kedua hal ini, hasil metode kuantitatif dapat
menyesatkan.
45
2.8.2.1. Nilai Biaya yang Diharapkan (Expeceted Monetary Value - EMV)
Dalam kondisi di mana perkiraan probabilitas diketahui dengan baik dan data
cukup tersedia maka EMV merupakan teknik yang popular untuk mengevaluasi
beberapa alternatif yang berisiko di masa depan. EMV merupakan jumlah
perkalian antara hasil yang diperoleh dengan kemungkinan terjadinya hasil
tersebut. Dengan demikian maka EMV alternatif i dapat dinyatakan dengan rumus
debagai berikut:
EMVi = (perkalian hasil) x (probabilitas timbulnya hasil)
Apabila pada jalur alternatif i terdapat beberapa segmen alternatif, misalnya i1, i2,
i3 dan seterusnya maka EMV jalur i adalah:
EMVi = EMV1 + EMV2 + EMV3 + dst.
Dengan demikian terdapat tiga alternatif keputusan, misalnya alternatif A, B, dan
C. Bila hasil dari tiap alternatif dapat dihitung dan probabilitas terjadinya hasil
tiap alternatif juga diketahui maka dapat dihitung EMVA , EMVB , EMVC. Yang
terbaik adalah alternatif dengan EMV terbesar.
2.9. Perlakuan Risiko (Langkah Manajemen Risiko 5)
Dalam melakukan pilihan opsi perlakuan risiko, penting untuk memerhatikan
persepsi dan nilai-nilai yang dianut oleh para pemangku kepentingan (Prinsip ke-8
Manajemen Risiko). Perlu diketahui bahwa perlakuan risiko juga dapat
menimbulkan risiko. Yang pasti, perlakuan risiko yang gagal merupakan risiko
tersendiri. Oleh karena itu, monitoring dan review merupakan bagian tidak
terpisahkan dari rencana perlakuan risiko itu sendiri.
Secara umum, perlakuan terhadap suatu risiko dapat berupa salah satu dari empat
perlakuan sebagai berikut:
1. Menghindari risiko (risk avoidance), berarti tidak melaksanakan atau
meneruskan kegiatan yang menimbulkan risiko tersebut.
2. Berbagi risiko (risk sharing/transfer), yaitu suatu tindakan untuk mengurangi
kemungkinan timbulnya risiko atau dampak risiko. Hal ini dilaksanakan antara
46
lain melalui asuransi, outsourcing, subcontracting, tindak lindung transaksi
nilai mata uang asing, dll.
3. Mitigasi (mitigation), yaitu melakukan perlakuan risiko untuk mengurangi
kemungkinan timbulnya risiko, atau mengurangi dampak risiko bila terjadi,
atau mengurangi keduanya yaitu kemungkinan dan dampak. Perlakuan ini
sebetulnya adalah bagian dari kegiatan organisasi sehari-hari.
4. Menerima risiko (risk acceptance), yaitu tidak melakukan perlakuan apapun
terhadap risiko tersebut.